有什么方法可以监视以 python(理想情况下)或 bash 开头的名为“X”的新进程?我知道我可以查看正在运行的进程,但这还不足以满足我的需求。我能想到的唯一想法是如何连接到新进程并注册它,但是如何?
更多背景信息:我是 CCDC 团队 ( http://www.nationalccdc.org/ ) 的一员,也是蓝队的一员。比赛的前提是给学生一个网络来防御专业的渗透测试人员,帮助下一代安全专家变得更好。我想要做的是在 linux 机器上加载这个 python 脚本并观察正在运行的某些命令,这可能只会被红队使用,例如“chattr”命令。理想情况下,我希望能够为脚本提供要观看的进程列表。我可以弄清楚那部分,但不知道如何观察进程产生。
任何方向表示赞赏。谢谢你。
我不知道在完全运行的 Linux 系统上通过任何方式启动进程时,没有办法通知没有 root 权限的进程。如果轮询速度不够快,您将不得不做一些严肃的黑客行为。
如果你有root,这是可能的。如果没有,我就看不到了。
使用 root,您可以设置系统范围内的fork和exec系统调用替换,从而为您提供所需的通知。这可能在内核中,也可能是LD_PRELOAD黑客攻击。
这不仅适用于 Python;即使使用 C 程序,我也不知道“inotify用于创建进程”。
我还没有测试过这个想法,但是在 Linux 上,每个进程都有一个目录,/proc/<it's process id>/如果你在目录创建中打开了 inotify,/proc你可能能够跟踪进程目录的创建,然后查看是否/proc/<dir>/cmdline匹配你正在寻找的进程。这只是一个想法,希望对您有所帮助!